Digital sikkerhed i Danmark Årsrapport fra Rådet for Digital Sikkerhed

Transkript

1 Digital sikkerhed i Danmark 2013 Årsrapport fra Rådet for Digital Sikkerhed

2 Kolofon DIGITAL SIKKERHED I DANMARK / 2013 Udgivet juni 2013 af Rådet for Digital Sikkerhed som pdf-fil. Redaktion: Birgitte Kofod Olsen (ansv.) Shehzad Ahmad Steffen Stripp Bjørn Kassøe Andersen Bidragydere: Ivan Damgaard Lars Stig Jørgensen Anette Høyrup Lars Højberg Layout: Jette Nielsen, Dansk Metal Fotos: Colourbox Kontakt: info@digitalsikkerhed.dk DIGITAL SIKKERHED I DANMARK /

3 Forord Vi har brug for mange gode kræfter for at sikre tryg it-anvendelse i Danmark. Der ligger et stort potentiale i brugen af digitalisering, cpr-numre, udnyttelse af big data og cloud computing, medico udstyr og meget mere. De nye muligher giver også store udfordringer i forhold til at sikre, at vi som borgere kan have tillid til de systemer, der opbygges og anvendes. Det gælder, hvad enten de anvendes i samfundets tjeneste eller til kommercielle formål. Med oprettelsen af Rådet for Digital Sikkerhed i slutningen af 2012 fik vi skabt en stærk aktør, som kan være med til at løfte denne opgave. Rådet for Digital Sikkerhed er uafhængigt af politiske og private interesser og har med sin brede sammensætning af organisationer, myndigheder, virksomheder og forskere en vidensmæssig robusthed, der gør det muligt for os kvalificere debatten og at bidrage til udviklingen af en sund digital kultur. Vi har i vores første periode brugt kræfter på etablere en organisatorisk platform. Vi har også udvalgt en række strategiske indsatsområder, hvor vi mener, at det danske samfund har udfordringer, der skal håndteres. En væsentlig del af Rådets arbejde foregår i en række arbejdsgruppe, hvor vores medlemmer med deres indgående viden og erfaring om it-sikkerhed og privatlivsbeskyttelse sætter mål for vores arbejde og omsætte dem til aktiviteter. For formandsskabet har det været vigtigt at lægge fundamentet til et livskraftigt og robust råd, både når det gælder vidensopbygning, organisering, medlemstilslutning, administration og økonomi. Vi er i løbet af vores første generalforsamlingsperiode kommet langt med mål og vidensopbygning, og vi har formidlet Rådets mål og synspunkter, både i medierne, via høringssvar til offentlige myndigheder, konferenceoplæg, deltagelse i møder og seminarer og på vores hjemmeside. I det kommende år vil vi fokusere på forsat tilgang af medlemmer og på at styrke den aktive dialog med vores interessenter. Vi ønsker også at igangsætte flere udadvendte aktiviteter, der kan bidrage til, at vi opfylder vores ambition om at fremme tryg it-anvendelse i fremtidens digitale samfund. Formand Birgitte Kofod Olsen Næstformand Shehzad Ahmad INDSATSOMRÅDER Borgernes sikkerhed Webfiltrering Persondataforordningen Digital autentifikation Big data og cloud computing Medico-udstyr Cyberwar DIGITAL SIKKERHED I DANMARK /

4 PRIVACY OG SAMFUNDSANSVAR Første del af 2013 har med fornyet styrke vist omfanget af de problemer vi står over for i forhold til dataindbrud og handlen med stjålne data og personidentiteter. Vi har set hvordan CPR-oplysninger for alle danskeres kørekort er blevet hacket ved et dataindbrud, som først blev opdaget længe efter det fandt sted. Samtidig professionaliseres omsætning af stjålne data, som nu for eksempel kan købes automatiseret via illegale webshops på samme måde, som vi kender det fra legale handelsaktiviteter. Problemerne har nået et niveau, hvor de påvirker vitale samfundsinteresser. Danmark satser i disse år markant på øget offentlig digitalisering. Folketinget har vedtaget, at 80 % af al relevant kommunikation med borgerne som udgangspunkt fremover skal være digital. Set i det lys er der stort behov for øget fokus på beskyttelse af vores persondata. De fleste danskere har tillid til, at både myndigheder og virksomheder håndterer vores persondata på en sikker og korrekt måde. Vi værdsætter de fordele og bekvemmeligheder, som digitaliseringen giver os. Ofte glemmer vi imidlertid, at privatlivsbeskyttelsen er fundamental og afgørende i et demokratisk samfund, både som værdi og princip. Uden respekt for vores privatsfære hvad enten vi har rollen som borger eller kunde risikerer vi en markant øget generel mistillid. Den vil vise sig både i forhold til offentlige myndigheder og i form af et mere utrygt forretningsmiljø. Det åbner også en reel risiko for, at vores individuelle frihed begrænses. Den seneste tids afsløringer har vist, hvor omfattende overvågning den amerikanske efterretningstjeneste NSA har mulighed for udføre. På blandt andet den baggrund må vi forvente, at brugere og forbrugere i fremtiden i langt højere grad vil efterspørge it-løsninger, der garanterer persondatabeskyttelse. Privatlivsbeskyttelse er derfor også ved at blive interessant ud fra en forretningsmæssig synsvinkel. Der er ved at opstå et nyt marked for udvikling og udbredelse af redskaber og tjenester til privacy by default og privacy by design, hvor beskyttelsen er bygget ind i it-arkitekturen. Et andet område, der er på vej frem, er privacy impact assessments, hvor man i forbindelse med etablering af nye systemer analyserer og vurderer, hvordan produkter, løsninger og procedurer spiller sammen med vores persondata. Rådet for Digital Sikkerhed arbejder for, at privatlivsbeskyttelse og betryggende brug af data tænkes ind som en del af det samfundsansvar, som både private virksomheder og offentlige myndigheder har. Det er helt nødvendigt, at vi holder fast i vores demokratiske værdier som grundlag for en tryg og effektiv digitaliseringsproces. Rådet for Digital Sikkerhed har peget på behovet for en afløser for CPR nummeret og arbejder på forslag til nye former for digital autentifikation. For danske virksomheder er det oplagt at arbejde med privatlivsbeskyttelse som led i deres samfundsansvar. Effektiv beskyttelse af kundedata bidrager til at opfylde menneskeretten til privatlivsbeskyttelse. Det grundlæggende princip bør være, at data, der kan henføres til personer, kun meddeles til dem, der faktisk har brug for dem for at udføre deres arbejde, og at oplysningerne slettes, når der ikke længere er brug for dem. DIGITAL SIKKERHED I DANMARK /

5 CPR-NUMRE KAN IKKE BRUGES TIL IDENTIFIKATION Indbruddet i politiets kørekortregister hos CSC har skabt bred opmærksomhed, omkring et problem, som i mange år har været velkendt og veldokumenteret: CPR-numre hverken kan ellerbør bruges til identifikation. Alligevel er både det offentlige og private virksomheder fortsat med at benytte løsninger, hvor CPR-numret giver adgang til både serviceydelser og for eksempel oprettelse af telefonabonnementer og låneoptagelse. Det gør det muligt at overtage en anden persons identitet og er en del af forklaringen på det øget antal identitetstyverier i Danmark. Problemet er følgende: Hvis man kender en persons fødselsdato og køn, er der teoretisk set kun 270 mulige CPR numre for den pågældende person. Reelt er der imidlertid endnu færre: Der fødes i Danmark kun ca. 80 drenge og 80 piger hver dag. Da CPR-numrene som regel tildeles i rækkefølge, skal man typisk blot igennem de første numre på listen for at finde det rigtige. I gennemsnit er 40 gæt altså nok, hvis man i forvejen kender køn og fødselsdag. Det er oplysninger, som er nemme at finde for offentlige personer eller via de oplysninger, som mange mennesker selv offentliggør på nettet. Mange af de myndigheder og virksomheder, som benytter CPR til identifikation i deres webtjenester, tillader et større eller mindre antal fejlindtastninger, og de meddeler når det indtastede nummer er forkert. Dermed kan den som vil gætte et personnummer blot fortsætte med at gætte, indtil det rigtige nummer er fundet. Det kan gøres manuelt, eller det kan automatiseres med simpel programmering. Yderligere er CPR-numre i stort omfang allerede lækket og gjort tilgængelig på nettet, enten via datatyveri eller ved at personer, som ikke er klar over problematikken, for eksempel har offentliggjort deres CV på nettet inklusive deres CPR-nummer. Uanset hvad vi stiller op, kan en persons CPR-nummer ikke betragtes som hemmeligt. Man kan sammenligne det med et journalnummer eller et telefonnummer, og både borgere, myndigheder og virksomheder skal lære at betragte det som en nemt tilgængelig og ikke-hemmelig oplysning. Det offentlige og private virksomheder skal stoppe med at benytte CPR-nummeret som identifikation, og det er et politisk ansvar at få dette til at ske. Når en kunde eller bruger logger ind, skal identifikationen i stedet ske via for eksempel et kundenummer eller brugernavn, som ikke er koblet til CPR-nummeret. En mere sikker identifikation kan ske via NemID, eller via personligt fremmøde kombineret med identitetsbevis og underskrift. I forhold til NemID er der imidlertid også problemer, idet CPR-nummeret her fortsat accepteres som brugernavn. I virkeligheden har private virksomheder som regel slet ikke brug for at kende et CPR-nummer. Deres egentlige behov er typisk at verificere en adresse, en persons alder eller at personen faktisk er den vedkommende giver sig ud for at være. Det er helt nødvendigt, at det offentlige og politikerne nu kommer på forkant i forhold til denne problematik. Vi har hårdt brug for et system til identifikation, der er uafhængigt af CPR-nummeret, og som giver virksomhederne adgang til de personoplysninger, de reelt har brug for, uden at det involvere alle mulige andre former for personlige data. Fremtidens løsninger på dette område skal inkludere brug af kryptering, adskillelse af identifikation og autentifikation, at borgere kan have flere forskellige ikke-forbundne brugerprofiler, og at borgere får mulighed for selv at opbevare egne persondata. Rådet for Digital Sikkerhed arbejder på en række anbefalinger til brugere og virksomheder omkring disse forhold. Arbejdsgruppen består af: Ivan Damgård (Aarhus Universitet) Jørn Guldberg (IDA-IT) Jakob Pagter (Alexandra Instituttet A/S) Henning Mortensen (DI-Itek) Henrik Biering (Peercraft) DIGITAL SIKKERHED I DANMARK /

6 CYBERSIKKERHED Det stigende omfang af cyberkriminelle aktiviteter gør os sårbare. Det øger behovet for effektive it-strukturer og institutioner, der både fokuser på it-sikkerhed og på privatlivsbeskyttelse. Det er en væsentlig forudsætning for at vi som borgere kan få adgang til et cyberspace, vi har tillid til. Digitalisering og cybersikkerhed skal derfor respektere vores grundlæggende rettigheder til privatliv, persondatabeskyttelse og ytringsfrihed, og samtidig sikre tilgængelighed til tjenester, der er vigtige for vores hverdag. Et nyt EU direktivforslag vil gøre det obligatorisk for medlemslandene at oprette en national sikkerhedsmyndighed, der har ansvar for netværks- og informationssikkerhed (NIS), og også at sikre en effektiv national CERT (Computer Emergency Response Team). Derudover skal medlemslandene udarbejde en national NIS-strategi med analyser af de risici, vi står overfor. Rådet for Digital Sikkerhed har i et høringsvar til direktivforslaget opfordret til, at en sådan analyse medtager en kortlægning og definition af samfundets kritiske infrastruktur. Der er i dag et kompliceret samspil mellem forskellige typer af infrastrukturer, både kritiske og almindelige, hvor netop den gensidige afhængighed betyder, at det vi betragter som almindelig, faktisk ofte er kritisk. Rådet for Digital Sikkerhed støtter opbygningen af en myndighedsstruktur, der adskiller det civile beredskab fra den nationale sikkerhedsmyndighed. Rådet mener, at der skal være en klar adskillelse mellem de civile og de militære/ efterretningsmæssige opgaver. EU har også fremlagt forslag til en Cyber Security Strategy, der har raising awareness som et indsatsområde. Målet er at borgerne bliver bedre til at vurdere deres risiko, når de færdes i cyberspace. Rådet for Digital Sikkerhed har i denne sammenhæng understreget behovet for en øget indsats, og argumenteret for at opgaven med fordel kan placeres hos den nationale CERT. Rådet for Digital Sikkerhed er i dialog med DKCERT, GOV-CERT og Center for Cybersikkerhed om sikkerhed og overvågning på internettet. FORSVAR I CYBERSPACE Forsvarsminister Nick Hækkerup fortalte på Dansk IT s sikkerhedskonference i januar 2013, at det danske militær nu arbejder med en ny dimension i forsvaret. Hidtil har forsvaret arbejdet på land, til vands og i luften. Nu er også cyberspace involveret. Regeringen har sat handling bag ordene. Med det seneste forsvarsforlig er oprettet et nyt dansk it-sikkerhedscenter, Computer Network Operations, som skal styrke forsvarets defensive og offensive operationer i cyberspace. Den danske oprustning til cyberwar er ikke et isoleret fænomen. Den følger en global udvikling, og noget lignende foregår i øjeblikket hos NATO og i USA, Kina, Nordkorea og formentlig i alle lande. Man må spørge, om denne oprustning kan sammenlignes med starten på atom våbenoprustningen, og om vi faktisk har travlt med at finde veje til at regulere og mindske cyberwar-oprustningen? Cyberwar handler om, at stater udfører eller støtter indtrængen eller anden aktivitet, som påvirker en anden stats computere eller netværk med henblik på at udøve en skadevirkning. Høringssvar vedr. EU s Cyber Security Strategy: DIGITAL SIKKERHED I DANMARK /

7 Umiddelbart kan der tænkes på DDOS-angreb, hvor adgang til bestemte websider hindres, eventuelt i kombination med at websiderne ændres. Sådanne angreb kan og bliver på nuværende tidspunkt gennemført af enkeltpersoner og grupper. Men det er ubetydeligheder i forhold til de skader, der kan forvoldes, når en stat involverer sig i udviklingen af cybervåben og udførelse af angreb. Stuxnet, som blev udviklet til angreb i Iran for at ramme landets atom-industri, gav et lille kig ind i de mulige trusler. Det var et dedikeret ondsindet programmel, som gik direkte efter at påvirke bestemte industrielle processer. Efterfølgende analyser har vist, at der har ligget en kompleks og omfattende indsats bag udviklingen af Stuxnet. Det har krævet meget detaljeret indsigt i de computersystemer, som skulle angribes, og meget store udviklings- og programmeringsresurser. Cybervåben kan være rettet mod at ramme fjendens militære kapacitet. De kan også være rettet mod samfundets grundlæggende infrastruktur, herunder el, vand, varme, sundhedssektoren og den finansielle sektor. Et problem er, hvordan man kan afgrænse cyberangreb til at være rettet mod militære mål. Konsekvenserne synes uundgåeligt at ramme bredt i civilbefolkningen. Et forudsigeligt scenario er, at et cyberangreb i fremtiden kan få meget alvorlige konsekvenser i form af ødelagte samfund og døde og tilskadekomne personer. Krig har regler som er fastlagt i internationale konventioner. Det er ikke klart, i hvilket omfang disse konventioner også omfatter cybervåben. Aktuelt ser vi en tendens til, at stater benytter cyberwar, uden der er krig. Forløbet omkring Stuxnet er blevet anført som eksempel på dette, og USA har fremført at der udført cyberangreb med med opbakning fra Kina. Måske kræver cyberwar nye internationale regler. Biologiske og kemiske våben er ikke tilladt, og der er regler for angreb mod civilbefolkningen. Har vi nu brug for tilsvarende internationale regler for anvendelse cybervåben og iværksættelse af cyberangreb? Et særligt påtrængende spørgsmål er, om det, som kaldes hvilende skadelig kode, også hører til på listen over cybervåben. Oprustningen er i gang, og det er på tide, at offentligheden involveres i en debat. Rådet for Digital Sikkerhed vil i denne sammenhæng bidrage med viden og debatindlæg om national og international regulering af udvikling og anvendelse af cybervåben. Arbejdsgruppe består af: Birgitte Kofod Olsen (Tryg) Shehzad Ahmad (DKCERT) Steffen Stripp (PROSA) Henning Mortensen (DI ITEK) Lars Højberg (TDC) EU-FORSLAG TIL NY PERSONDATA- FORORDNING Der er brug for øget beskyttelse af vores persondata, og nye regler fra EU er på vej i form af en persondataforordning. De nye fælles EU-regler får direkte relevans i forhold til, hvordan myndigheder og virksomheder fremover skal forholde sig ved databrud, for eksempel det meget omfattende indbrud i politiets kørekortregister hos CSC, som blev offentligt kendt i juni I takt med den massive vækst i indsamling og brug af personlige oplysninger både i offentligt og privat regi udfordres datasikkerheden, og det aktualiserer behovet for, at borgerne i højere grad får kontrol over egne oplysninger. Samtidig vokser myndighedernes opgave med at føre tilsyn med området. Rådet for Digital Sikkerhed finder det derfor positivt, at specielt disse områder har EU-Kommissionens fokus i det forslag til en ny persondataforordning, som blev fremsat 25. januar DIGITAL SIKKERHED I DANMARK /

8 EU-Kommissionen foreslår, at der indføres et princip om at indbygge databeskyttelse i it-løsningerne fra start ( Privacy by Design ), og at virksomheder, som udfører risikofyldt databehandling, skal foretage konsekvensanalyser om databeskyttelse ( Privacy Assessments ). Forslaget omfatter også en pligt til uden unødig forsinkelse at underrette både databeskyttelsesmyndighederne og de berørte fysiske personer om brud på datasikkerheden, og der er krav om, at visse virksomheder skal udpege en databeskyttelsesansvarlig. For den enkelte borger vil EU-Kommissionens forslag give øget kontrol over egne oplysninger. Det sker via skærpede reglerne om information, samtykke og indsigt i egne oplysninger. Der indføres også en ret til at blive glemt, som i praksis er en udvidet sletteadgang og en ret til dataportabilitet, dvs. adgang til at man som borger kan vælge at flytte data fra én tjenesteudbyder til en anden. Forslaget indeholder også særregler for børn, fordi de ofte er mindre bevidste end voksne om risici, konsekvenser, garantier og rettigheder, når det gælder personoplysninger. Forslaget indebærer, at de nationale databeskyttelsesmyndigheder får større uafhængighed og flere beføjelser. Det sker blandt andet ved at give dem adgang til at pålægge virksomheder store bøder på op til 2 % af virksomhedens samlede årlige omsætning. Samarbejdet mellem databeskyttelsesmyndighederne på tværs af EU udvides, og den såkaldte Artikel 29-dataekspertgruppe opgraderes til et databeskyttelsesråd på EU-niveau for at styrke en ensartet håndhævelse af forordningen. Vedtagelsen af den nye forordning trækker ud, selv om emnet har været en topprioritet under det irske formandskab. Indholdet diskuteres stadigt heftigt internt og med stakeholders i Kommissionen og Parlamentet, så det er uklart, hvornår reglerne og med hvilket indhold bliver en realitet. Samtidig diskuteres, om forslaget i stedet skal udmøntes i et direktiv og dermed i stedet implementeres nationalt af de enkelte landes regeringer. Beslutningen om dette er blevet udskudt af Rådet til september Den danske regering ønsker at sikre den danske offentlige sektor mest mulig fleksibilitet, og har derfor argumenteret imod, at forslaget vedtages som en forordning. Rådet for Digital Sikkerhed følger tilblivelsen af persondataforordningen og formidler viden om, hvordan de nye regler kommer til at påvirke persondatabeskyttelse og tryg it anvendelse. Arbejdsgruppen består af: Henning Mortensen (DI ITEK) Anette Høyrup (Forbrugerrådet) Rikke Frank Jørgensen (Institut for Menneskerettigheder) MEDICO-TEKNISK UDSTYR OG INFORMATIONSSIKKERHED Medico-teknisk udstyr er indbygget i de apparater, vi møder, når vi behandles på sygehusene og hos lægen. Det gælder for eksempel røntgenscannere, blodtryksmålere og analyseapparater til blodprøver. Mange af disse apparater er koblet op på it-netværk, og de opsamler og lagrer personhenførbare oplysninger. Efterfølgende lagres resultaterne ofte i de it-systemer, der understøtter patientbehandlingen. Rådet for Digital Sikkerhed har sat fokus på sikkerheden i medico-teknisk udstyr gennem dialog med leverandører og brugere af udstyret. Vores mål er at afdække de udfordringer, der knytter sig til beskyttelse af data og udstyr. DIGITAL SIKKERHED I DANMARK /

9 Vi har blandt andet identificeret følgende sikkerhedsmæssige aspekter: Risiko for spredning af skadelig software (vira, orme m.v.). Dette hænger sammen med, at udstyret placeres på interne netværk. I nogle tilfælde kan operativsystemer og tredjeparts- software på udstyret ikke opdateres, i andre tilfælde har producenten fastsat, at anti-virus software ikke må installeres eller opdateres. Der lagres personhenførbare informationer på udstyret. Der kan være problemer i forhold til brugerautentifikation, autorisation, data be skyttelse m.v. Informationer opsamlet og lagret på medicoteknisk udstyr overføres til organisationens it-systemer. Der kan være problemer i forhold de procedurer, som anvendes. Leverandører udfører fjernsupport på udstyret via netadgang eller på stedet med brug af USBsticks. Dette kan indebære sikkerhedsrisici. Vi undersøger emnet fra to vinkler. Den ene er en analyse af de lovkrav, som gælder på persondataområdet og de kvalitetskrav, der stilles til produktion af medico-teknisk udstyr (herunder 93/42 EEC Medical Device Directive, ISO 13485:2000 og FDA/21 CFR 820). Spørgsmålet er, om det er muligt at overholde alle disse krav, som de foreligger, eller om sikring af udstyret vanskeliggøres på grund af lovgivningskravenes forskellige udgangspunkter? Hvis det sidste er tilfældet, vil vi indgå i dialog med lovgiverne for at sikre harmonisering af kravene. Den anden vinkel tager udgangspunkt i de organisatoriske og tekniske forhold hos leverandør og kunde. Her arbejder vi blandt med følgende muligheder: Inddragelse af sikkerhedsfolk og it-driftsorganisationen tidligt nok i indkøbsprocessen, både hos leverandør og kunde. Anvendelse af netværkssegmentering mellem medico-teknisk udstyr og it-netværket. Anvendelse af protokoller og kryptering på netværket. Trusselsbilledet er ikke statisk, og nye risikoscenarier skal løbende vurderes i forhold til eksisterende installationer. Gennemførsel af risikovurderinger. Rådet for Digital Sikkerhed har oplevet en god og konstruktiv debat med og mellem leverandører og brugerorganisationer. Vi vil på et senere tidspunkt dokumentere og formidle vores konklusioner på digitalsikkerhed.dk. Arbejdsgruppen består af: Lars Stig Jørgensen (Region Sjælland) Henning Mortensen (DI ITEK) Jørn Guldberg (IDA-IT) WEBFILTRERING Børnepornografi er ifølge straffeloven og internationale konventioner ulovligt, og det er ødelæggende for børns psykiske og sociale udvikling. Ikke desto mindre er billeder af seksuelle overgreb på børn relativt nemt tilgængelige på nettet, og de spredes via almindeligt udbredte digitale tjenester. DIGITAL SIKKERHED I DANMARK /

10 Som situationen er i dag, giver internettet og den digitale teknologis udvikling mulighed for at producere, tilgå og distribuere børnepornografi jorden rundt med få tastetryk. Børnepornografi kan tilgås via stort set alle former for internetteknologi, herunder websider, mail, instant messaging, internet relay chat, peer2peer netværk og sociale netværk. Både staten og virksomheder har et ansvar for, at børn beskyttes mod seksuelle overgreb og mod at blive udnyttet pornografisk. Mængden af tilgængelig børneporno er imidlertid stigende, og det viser, at der er et øget behov for beskyttelse af børnene. En måde at beskytte børnene på er at vanskeliggøre udbredelsen af børnepornografi, for på den måde at nedsætte de økonomiske incitamenter og samtidig gøre det mere risikofyldt for bagmændene. En af metoderne til at forhindre spredning af børnepornografi er webfiltrering. Brugen af webfiltrering rejser imidlertid et dilemma. Det er velkendt at metoden kan begrænse adgangen til lovligt materiale, og dermed kommer til at gribe ind i borgernes ytrings- og informationsfrihed. Bekæmpelse af børnepornografi kræver en indsats fra alle dele af samfundet. Der er brug for både politiske, juridiske og tekniske vinkler, så vi får blik for de dilemmaer, som en indsats afstedkommer. Rådet for Digital Sikkerhed vil bidrage til debatten om egnede redskaber og komme med konkrete forslag til, hvordan børnepornografi imødegås mest effektivt. I 2012 modtog Red Barnets hotline 3013 anmeldelser - mod 2385 i procent af anmeldelserne drejer sig om hjemmesider, resten fordeler sig blandt andet på peer2peer netværk, nyhedsgrupper og chat. Red Barnet vurderer, at næsten 25 procent af anmeldelserne handlede om hjemmesider med ulovligt indhold, som der ikke tidligere havde været kendskab til. Det svarer til næsten 14 nye hjemmesider om ugen i 2012 (kilde: Red Barnet, Årsberetning 2012). Arbejdsgruppen består af: Lars Højberg (TDC) Tom Engly (Tryg) Lars Underbjerg (tidligere NITEC, nu Telenor Broadcast) Kuno Sørensen (Red Barnet) BORGERNES DIGITALE SIKKERHED AKTUELLE UDFORDRINGER En kvinde i Frederikssund modtager en mail fra Skat med besked om, at hun skal have penge tilbage. Hun udfylder det skema, der linkes til, med navn og kontooplysninger. Nogle dage senere beder hendes bank hende bekræfte, at hun ønsker at overføre euro til en konto i udlandet. Historien, der stod i Lokalavisen den 15. marts 2013, er et godt eksempel på en af de it-sikkerhedsmæssige udfordringer, danske borgere står overfor. Med såkaldt phishing forsøger svindlere at franarre borgerne fortrolige oplysninger. Ofrene ledes til forfalskede websiderne via s med forfalskede afsenderoplysninger. Derfor er der brug for, at borgerne bliver bedre til at genkende phishing-mails, når de modtager dem. En anden væsentlig udfordring ligger i at holde software på brugernes pc er og andre enheder opdateret. Mange softwareudbydere indbygger metoder til automatisk opdatering. Alligevel kører mange brugere videre med forældede versioner af programmer og styresystemer. Når der er sårbar software på en pc, risikerer brugeren at blive offer for såkaldte drive-by downloads. Det vil sige, at når borgeren besøger et websted, bliver der installeret skadelige programmer på pc en, uden at brugeren opdager det. Webstedet kan være et legitimt websted, der er overtaget af kriminelle. De har installeret et såkaldt exploit kit, DIGITAL SIKKERHED I DANMARK /

11 der automatisk afprøver en række kendte sårbarheder på de pc er, der besøger webstedet, og som udnytter de huller, det finder. Smartphones, tavlecomputere og andre bærbare enheder stiller nye krav til sikkerheden. De mobile enheder er med os overalt. Dermed er risikoen for, at de bliver tabt eller stjålet langt højere. Så borgerne må lære at beskytte sig mod datatab. Hvis telefonen forsvinder, er det vigtigt, at borgerens data ikke forsvinder sammen med den. Og det er en fordel, hvis man også kan forhindre tyven i at få adgang til data på enheden. Bærbare enheder og de tilhørende datatjenester, der oftest har form af såkaldte cloud-løsninger, indebærer også udfordringer for beskyttelsen af persondata. Her skal borgerne lære at tage stilling til, hvilke data de er villige til at dele og for hvilken pris. Rådet for Digital Sikkerhed arbejder for at forbedre itsikkerheden for landets borgere. Det er nødvendigt, fordi en stadig større del af vores liv leves digitalt. Dermed bliver der flere data, der skal beskyttes. Første skridt vi har taget er udarbejdelsen af de 10 tips til din digitale sikkerhed, som er beskrevet i det følgende. Arbejdsgruppen består af: Shehzad Ahmad (DKCERT) Jesper B. Hansen (ESL-foreningen) Lars Stig Jørgensen (Region Sjælland) Mette Nikander (C-Cure) Anette Høyrup (Forbrugerrådet) Ivan Damgård (Århus Universitet) Claus Noer Hjorth (Medierådet for Børn og Unge) Christian Wernberg-Tougaard (IT-Branchen) Niels Christian Juul (Roskilde Universitet) 10 TIPS TIL DIN DIGITALE SIKKERHED Der har gennem tiden været en del forskellige udgaver af 10 gode råd om it-sikkerhed til de danske borgere. Rådene har ændret sig i takt med den teknologiske udvikling, men mange af dem er fortsat de samme. Rådet for Digital Sikkerhed har valgt at påtage sig opgaven med at samle og formidle hvad vi nu kalder for 10 tips til din digitale sikkerhed. Mens man som fagperson eller læser af denne årsrapport nok kender dem alle, har det fortsat betydning, at opdateret og autoritativ information af denne type er nemt tilgængelig og kan bruges i informationsog undervisningssammenhænge. Rådet for Digital Sikkerhed ser de aktuelle 10 tips som et første skridt i retning af en mere omfattende kampagneindsats, som vi ønsker igangsætte. Vi er i denne sammenhæng åbne for samarbejde med andre aktører og sonderer aktuelt muligheden for at fremskaffe finansiering. Vi mener, at der er stort behov for både at adressere offentligheden generelt og i høj grad også en målrettet indsats i forhold til uddannelsessektoren, hvor it-sikkerhed og privatlivsbeskyttelse bør være emner, som alle modtager undervisning i. Vi er opmærksomme på, at det allerede nu er vanskeligt at udforme en simpel 10-punkts liste, som er relevant for alle. Der vil fremover være brug for, at anbefalinger vedrørende digital sikkerhed i højere grad segmenteres, både i forhold til målgrupper, færdighedsniveau og hvilke enheder, brugeren benytter. DIGITAL SIKKERHED I DANMARK /

12 Vores aktuelle 10 tips fremgår af boksen her på siden, og de er tilgængelige i en mere detaljeret version på 1. Beskyt dig mod skadelige programmer med et antivirusprogram 2. Hold dine enheder opdateret 3. Undgå skadelige downloads når du besøger hjemmesider 4. Pas på når nogen uopfordret sender dig 5. Brug gode passwords 6. Tag sikkerhedskopier af dine data 7. Beskyt dine persondata 8. Pas på flytbare medier 9. Undgå åbne trådløse netværk 10. Brug din sunde fornuft og bed om hjælp hvis du er i tvivl RÅDET FOR DIGITAL SIKKERHED I DEN OFFENTLIGE DEBAT Rådet for Digital Sikkerhed har siden oprettelsen i november 2012 markeret sig i den offentlige debat om tryg it anvendelse. Rådet har på nuværende tidspunkt 44 medlemmer, herunder næsten alle relevante interesseorganisationer samt en række offentlige organisationer, virksomheder og forskere. Status over periodens aktiviteter: Abonnenter på elektronisk nyhedsbrev: ca. 200 Abonnenter på pressemeddelelser: ca. 300 Pressemeddelelser (nov juni 2013): 3 Interviews/medieomtaler (nov juni 2013): ca. 40 Høringssvar (nov juni 2013): 4 Konferenceoplæg (nov juni 2013): 2 ØKONOMISK STATUS Rådets regnskabsår følger kalenderåret og blev økonomisk etableret 1. januar Det blev ved den stiftende generalforsamling besluttet, at der skulle opkræves et kontingent for 7 måneder for perioden frem til 1. juli Nyt kontingent vil blive opkrævet i juli måned for perioden 1. juli 2013 til 30. juni Der er indbetalt kontingent fra 43 medlemmer, i alt 119 tkr. TDC og Ældresagen har valgt at støtte Rådet med ekstra frivillige bidrag på i alt 64 tkr. Endvidere er modtaget 27 tkr. fra det nu nedlagte Rådet For Større IT-Sikkerhed, som var med til at stifte Rådet. Vi takker for disse bidrag. De samlede indtægter udgør 210 tkr. Rådet har frem til 15. juni 2013 haft udgifter til sekretariatsbistand i forbindelse med afholdelse af den stiftende generalforsamling, etablering af foreningen formelt og administrativt og oprettelse af hjemmesiden. Dernæst har Rådet haft udgifter til sekretariatsfunktioner samt bistand til kommunikation, som omfatter blandt andet pressemeddelelser, etablering af nyhedsbrev, indhold på hjemmeside og udarbejdelse af høringssvar. De samlede udgifter udgør 167 tkr. Det kan heraf beregnes, at Rådets formue med udgangen af pr. 15. juni 2013 er 43 tkr. Kasserer i Rådet for Digital Sikkerhed er Steffen Stripp DIGITAL SIKKERHED I DANMARK /